Aktivera övervakning för Kubernetes-kluster

Den här artikeln beskriver hur du aktiverar fullständig övervakning av dina Kubernetes-kluster med hjälp av följande Azure Monitor-funktioner:

• Hanterad Prometheus för måttinsamling
• Containerinsikter för logginsamling
• Hanterad Grafana för visualisering.

Med hjälp av Azure Portal kan du aktivera alla funktioner samtidigt. Du kan också aktivera dem individuellt med hjälp av Azure CLI, Azure Resource Manager-mallen, Terraform eller Azure Policy. Var och en av dessa metoder beskrivs i den här artikeln.

Viktigt!

Kubernetes-kluster genererar mycket loggdata, vilket kan leda till betydande kostnader om du inte är selektiv med de loggar som du samlar in. Innan du aktiverar övervakning för klustret kan du läsa följande artiklar för att säkerställa att din miljö är optimerad för kostnad och att du begränsar logginsamlingen till endast de data som du behöver:

• Konfigurera datainsamling och kostnadsoptimering i Container Insights med hjälp av datainsamlingsregeln
  Information om hur du anpassar loggsamlingen när du har aktiverat övervakning, inklusive användning av förinställda konfigurationer för kostnadsoptimering.
• Metodtips för övervakning av Kubernetes med Azure Monitor
  Metodtips för övervakning av Kubernetes-kluster ordnade efter de fem grundpelarna i Azure Well-Architected Framework, inklusive kostnadsoptimering.
• Kostnadsoptimering i Azure Monitor
  Metodtips för att konfigurera alla funktioner i Azure Monitor för att optimera dina kostnader och begränsa mängden data som du samlar in.

Kluster som stöds

Den här artikeln innehåller registreringsvägledning för följande typer av kluster. Eventuella skillnader i processen för varje typ anges i relevanta avsnitt.

• Azure Kubernetes-kluster (AKS)
• Arc-aktiverade Kubernetes-kluster

Förutsättningar

Behörigheter

• Du behöver minst deltagaråtkomst till klustret för registrering.
• Du behöver Övervakningsläsare eller Övervakningsdeltagare för att visa data när övervakning har aktiverats.

Krav för Hanterad Prometheus

• Klustret måste använda hanterad identitetsautentisering.
• Följande resursproviders måste registreras i prenumerationen på AKS-klustret och Azure Monitor-arbetsytan:
  • Microsoft.ContainerService
  • Microsoft.Insights
  • Microsoft.AlertsManagement
  • Microsoft.Monitor
• Följande resursprovidrar måste registreras i prenumerationen på Grafana-arbetsytans prenumeration:
  • Microsoft.Dashboard

Krav för Arc-aktiverade Kubernetes-kluster

• Krav för Azure Arc-aktiverade Kubernetes-klustertillägg.
  • Verifiera brandväggskraven utöver Azure Arc-aktiverade Kubernetes-nätverkskrav.
  • Om du tidigare har installerat övervakning för AKS kontrollerar du att du har inaktiverat övervakningen innan du fortsätter för att undvika problem under tilläggsinstallationen.
  • Om du tidigare har installerat övervakning på ett kluster med ett skript utan klustertillägg följer du anvisningarna i Inaktivera övervakning av kubernetes-klustret för att ta bort det här Helm-diagrammet.

Kommentar

Det hanterade Prometheus Arc-aktiverade Kubernetes-tillägget stöder inte följande konfigurationer:

• Red Hat Openshift-distributioner, inklusive Azure Red Hat OpenShift (ARO)
• Windows-noder

Arbetsytor

I följande tabell beskrivs de arbetsytor som krävs för att stödja managed prometheus och containerinsikter. Du kan skapa varje arbetsyta som en del av registreringsprocessen eller använda en befintlig arbetsyta. Se Designa en Log Analytics-arbetsytearkitektur för vägledning om hur många arbetsytor som ska skapas och var de ska placeras.

Funktion	Arbetsyta	Kommentar
Managed Prometheus	Azure Monitor-arbetsyta	Contributor behörighet räcker för att aktivera tillägget för att skicka data till Azure Monitor-arbetsytan. Du behöver Owner nivåbehörighet för att länka din Azure Monitor-arbetsyta för att visa mått i Azure Managed Grafana. Detta krävs eftersom användaren som kör registreringssteget måste kunna ge rollen Azure Managed Grafana System Identity Monitoring Reader på Azure Monitor-arbetsytan för att köra frågor mot måtten.
Containerinsikter	Log Analytics-arbetsyta	Du kan koppla ett AKS-kluster till en Log Analytics-arbetsyta i en annan Azure-prenumeration i samma Microsoft Entra-klientorganisation, men du måste använda Azure CLI eller en Azure Resource Manager-mall. Du kan för närvarande inte utföra den här konfigurationen med Azure Portal. Om du ansluter ett befintligt AKS-kluster till en Log Analytics-arbetsyta i en annan prenumeration måste resursprovidern Microsoft.ContainerService vara registrerad i prenumerationen med Log Analytics-arbetsytan. Mer information finns i Registrera en resursprovider. En lista över mappningspar som stöds som ska användas för standardarbetsytan finns i Regionmappningar som stöds av Container Insights.
Hanterad Grafana	Azure Managed Grafana-arbetsyta	Länka grafana-arbetsytan till din Azure Monitor-arbetsyta för att göra Prometheus-måtten som samlats in från klustret tillgängliga för Grafana-instrumentpaneler.

Aktivera Prometheus och Grafana

Använd någon av följande metoder för att aktivera skrapning av Prometheus-mått från klustret och göra det möjligt för Managed Grafana att visualisera måtten. Se Länka en Grafana-arbetsyta för alternativ för att ansluta din Azure Monitor-arbetsyta och Azure Managed Grafana-arbetsyta.

Kommentar

Om du har en enda Azure Monitor-resurs som är privatlänkad fungerar inte Prometheus-aktiveringen om AKS-klustret och Azure Monitor-arbetsytan finns i olika regioner. Konfigurationen som behövs för Prometheus-tillägget är inte tillgänglig mellan regioner på grund av begränsningen för privat länk. Lös detta genom att skapa en ny DCE på AKS-klusterplatsen och en ny DCRA (association) i samma AKS-klusterregion. Associera den nya DCE:n med AKS-klustret och namnge den nya associationen (DCRA) som configurationAccessEndpoint. Fullständiga instruktioner om hur du konfigurerar domänkontrollanter som är associerade med din Azure Monitor-arbetsyta för att använda en privat länk för datainmatning finns i Aktivera privat länk för Kubernetes-övervakning i Azure Monitor.

CLI

Aktivera med CLI

Om du inte anger en befintlig Azure Monitor-arbetsyta i följande kommandon används standardarbetsytan för resursgruppen. Om det inte redan finns någon standardarbetsyta i klustrets region skapas en med ett namn i formatet DefaultAzureMonitorWorkspace-<mapped_region> i en resursgrupp med namnet DefaultRG-<cluster_region>.

Förutsättningar

• Az CLI-versionen av 2.49.0 eller senare krävs.
• Aks-preview-tillägget måste avinstalleras från AKS-kluster med hjälp av kommandot az extension remove --name aks-preview.
• Tillägget k8s-extension måste installeras med kommandot az extension add --name k8s-extension.
• K8s-tillägget version 1.4.1 eller senare krävs.

AKS-kluster

Använd alternativet -enable-azure-monitor-metrics az aks create eller az aks update (beroende på om du skapar ett nytt kluster eller uppdaterar ett befintligt kluster) för att installera måtttillägget som skrapar Prometheus-mått.

Exempelkommandon

### Use default Azure Monitor workspace
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group>

### Use existing Azure Monitor workspace
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group> --azure-monitor-workspace-resource-id <workspace-name-resource-id>

### Use an existing Azure Monitor workspace and link with an existing Grafana workspace
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group> --azure-monitor-workspace-resource-id <azure-monitor-workspace-name-resource-id> --grafana-resource-id  <grafana-workspace-name-resource-id>

### Use optional parameters
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group> --ksm-metric-labels-allow-list "namespaces=[k8s-label-1,k8s-label-n]" --ksm-metric-annotations-allow-list "pods=[k8s-annotation-1,k8s-annotation-n]"

Arc-aktiverat kluster

### Use default Azure Monitor workspace
az k8s-extension create --name azuremonitor-metrics --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers.Metrics

## Use existing Azure Monitor workspace
az k8s-extension create --name azuremonitor-metrics --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers.Metrics --configuration-settings azure-monitor-workspace-resource-id=<workspace-name-resource-id>

### Use an existing Azure Monitor workspace and link with an existing Grafana workspace
az k8s-extension create --name azuremonitor-metrics --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers.Metrics --configuration-settings azure-monitor-workspace-resource-id=<workspace-name-resource-id> grafana-resource-id=<grafana-workspace-name-resource-id>

### Use optional parameters
az k8s-extension create --name azuremonitor-metrics --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers.Metrics --configuration-settings azure-monitor-workspace-resource-id=<workspace-name-resource-id> grafana-resource-id=<grafana-workspace-name-resource-id> AzureMonitorMetrics.KubeStateMetrics.MetricAnnotationsAllowList="pods=[k8s-annotation-1,k8s-annotation-n]" AzureMonitorMetrics.KubeStateMetrics.MetricLabelsAllowlist "namespaces=[k8s-label-1,k8s-label-n]"

Alla kommandon kan använda följande valfria parametrar:

• AKS: --ksm-metric-annotations-allow-list
  Båge: --AzureMonitorMetrics.KubeStateMetrics.MetricAnnotationsAllowList
  Kommaavgränsad lista över Kubernetes-anteckningsnycklar som används i resursens kube_resource_annotations mått. Till exempel är kube_pod_annotations anteckningsmåttet för poddresursen. Som standard innehåller det här måttet endast namn- och namnområdesetiketter. Om du vill inkludera fler anteckningar anger du en lista över resursnamn i pluralform och Kubernetes-anteckningsnycklar som du vill tillåta för dem. En enskild * kan tillhandahållas för varje resurs för att tillåta eventuella anteckningar, men detta har allvarliga prestandakonsekvenser. Exempel: pods=[kubernetes.io/team,...],namespaces=[kubernetes.io/team],...
  
• AKS: --ksm-metric-labels-allow-list
  Båge: --AzureMonitorMetrics.KubeStateMetrics.MetricLabelsAllowlist
  Kommaavgränsad lista över fler Kubernetes-etikettnycklar som används i resursens kube_resource_labels mått kube_resource_labels mått. Till exempel är kube_pod_labels måttet etiketter för poddresursen. Som standard innehåller det här måttet endast namn- och namnområdesetiketter. Om du vill inkludera fler etiketter anger du en lista med resursnamn i pluralform och Kubernetes-etikettnycklar som du vill tillåta för dem En enda * kan tillhandahållas för varje resurs för att tillåta etiketter, men det här har allvarliga prestandakonsekvenser. Exempel: pods=[app],namespaces=[k8s-label-1,k8s-label-n,...],...
  
• AKS: --enable-windows-recording-rules Låter dig aktivera de inspelningsregelgrupper som krävs för att Windows-instrumentpanelerna ska fungera korrekt.

Azure Resource Manager

Aktivera med ARM-mallar

Förutsättningar

• Azure Monitor-arbetsytan och Azure Managed Grafana-instansen måste redan ha skapats.
• Mallen måste distribueras i samma resursgrupp som Azure Managed Grafana-instansen.
• Om Azure Managed Grafana-instansen finns i en annan prenumeration än Azure Monitor-arbetsyteprenumerationen registrerar du Azure Monitor-arbetsyteprenumerationen Microsoft.Dashboard hos resursprovidern med hjälp av vägledningen hos Registrera resursprovider.
• Användare med User Access Administrator rollen i aks-klustrets prenumeration kan aktivera Monitoring Reader rollen direkt genom att distribuera mallen.

Kommentar

För närvarande i Bicep finns det inget sätt att uttryckligen begränsa rolltilldelningen Monitoring Reader på en strängparameter "resurs-ID" för en Azure Monitor-arbetsyta som i en ARM-mall. Bicep förväntar sig ett värde av typen resource | tenant. Det finns inte heller någon REST API-specifikation för en Azure Monitor-arbetsyta.

Därför finns standardomfånget Monitoring Reader för rollen i resursgruppen. Rollen tillämpas på samma Azure Monitor-arbetsyta genom arv, vilket är det förväntade beteendet. När du har distribuerat den här Bicep-mallen får Monitoring Reader Grafana-instansen behörighet för alla Azure Monitor-arbetsytor i den resursgruppen.

Hämta nödvändiga värden för Grafana-resurs

Om Azure Managed Grafana-instansen redan är länkad till en Azure Monitor-arbetsyta måste du inkludera den här listan i mallen. På sidan Översikt för Azure Managed Grafana-instansen i Azure Portal väljer du JSON-vyn och kopierar värdet azureMonitorWorkspaceIntegrations som ser ut ungefär som exemplet nedan. Om den inte finns har instansen inte länkats till någon Azure Monitor-arbetsyta.

"properties": {
    "grafanaIntegrations": {
        "azureMonitorWorkspaceIntegrations": [
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_1"
            },
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_2"
            }
        ]
    }
}

Ladda ned och redigera mall- och parameterfil

1. Ladda ned nödvändiga filer för den typ av Kubernetes-kluster som du arbetar med.

   ARM för AKS-kluster

   • Mallfil: https://aka.ms/azureprometheus-enable-arm-template
   • Parameterfil: https://aka.ms/azureprometheus-enable-arm-template-parameters

   AKS-kluster Bicep

   • Mallfil: https://aka.ms/azureprometheus-enable-bicep-template
   • Parameterfil: https://aka.ms/azureprometheus-enable-bicep-template-parameters
   • DCRA-modul: https://aka.ms/nested_azuremonitormetrics_dcra_clusterResourceId
   • Profilmodul: https://aka.ms/nested_azuremonitormetrics_profile_clusterResourceId
   • Azure Managed Grafana-rolltilldelningsmodul: https://aka.ms/nested_grafana_amw_role_assignment

   Arc-enabled kluster ARM

   • Mallfil: https://aka.ms/azureprometheus-arc-arm-template
   • Parameterfil: https://aka.ms/azureprometheus-arc-arm-template-parameters

2. Redigera följande värden i parameterfilen. Samma uppsättning värden används för både ARM- och Bicep-mallarna. Hämta resurs-ID:t för resurserna från JSON-vyn för deras översiktssida .

   Parameter	Värde
   azureMonitorWorkspaceResourceId	Resurs-ID för Azure Monitor-arbetsytan. Hämta från JSON-vyn på sidan Översikt för Azure Monitor-arbetsytan.
   azureMonitorWorkspaceLocation	Plats för Azure Monitor-arbetsytan. Hämta från JSON-vyn på sidan Översikt för Azure Monitor-arbetsytan.
   clusterResourceId	Resurs-ID för AKS-klustret. Hämta från JSON-vyn på sidan Översikt för klustret.
   clusterLocation	Platsen för AKS-klustret. Hämta från JSON-vyn på sidan Översikt för klustret.
   metricLabelsAllowlist	Kommaavgränsad lista över Kubernetes-etiketter som ska användas i resursens etikettmått.
   metricAnnotationsAllowList	Kommaavgränsad lista över fler Kubernetes-etikettnycklar som ska användas i resursens anteckningsmått.
   grafanaResourceId	Resurs-ID för den hanterade Grafana-instansen. Hämta från JSON-vyn på sidan Översikt för Grafana-instansen.
   grafanaLocation	Plats för den hanterade Grafana-instansen. Hämta från JSON-vyn på sidan Översikt för Grafana-instansen.
   grafanaSku	SKU för den hanterade Grafana-instansen. Hämta från JSON-vyn på sidan Översikt för Grafana-instansen. Använd sku.name.

3. Öppna mallfilen och uppdatera grafanaIntegrations egenskapen i slutet av filen med de värden som du hämtade från Grafana-instansen. Detta ser ut ungefär som i följande exempel. I de här exemplen full_resource_id_1 fanns och full_resource_id_2 redan i Azure Managed Grafana-resursen JSON. Den sista azureMonitorWorkspaceResourceId posten finns redan i mallen och används för att länka till resurs-ID:t för Azure Monitor-arbetsytan som anges i parameterfilen.

   ARM

   {
       "type": "Microsoft.Dashboard/grafana",
       "apiVersion": "2022-08-01",
       "name": "[split(parameters('grafanaResourceId'),'/')[8]]",
       "sku": {
           "name": "[parameters('grafanaSku')]"
       },
       "location": "[parameters('grafanaLocation')]",
       "properties": {
           "grafanaIntegrations": {
           "azureMonitorWorkspaceIntegrations": [
               {
                   "azureMonitorWorkspaceResourceId": "full_resource_id_1"
               },
               {
                   "azureMonitorWorkspaceResourceId": "full_resource_id_2"
               },
               {
                   "azureMonitorWorkspaceResourceId": "[parameters('azureMonitorWorkspaceResourceId')]"
               }
           ]
           }
       }
   }
   

   Bicep

       resource grafanaResourceId_8 'Microsoft.Dashboard/grafana@2022-08-01' = {
           name: split(grafanaResourceId, '/')[8]
           sku: {
               name: grafanaSku
           }
           identity: {
               type: 'SystemAssigned'
           }
           location: grafanaLocation
           properties: {
               grafanaIntegrations: {
                   azureMonitorWorkspaceIntegrations: [
                       {
                           azureMonitorWorkspaceResourceId: 'full_resource_id_1'
                       }
                       {
                           azureMonitorWorkspaceResourceId: 'full_resource_id_2'
                       }
                       {
                           azureMonitorWorkspaceResourceId: azureMonitorWorkspaceResourceId
                       }
                   ]
               }
           }
       }
   

4. Distribuera mallen med parameterfilen med valfri giltig metod för att distribuera Resource Manager-mallar. Exempel på olika metoder finns i Distribuera exempelmallarna.

Terraform

Aktivera med Terraform

Förutsättningar

• Azure Monitor-arbetsytan och Azure Managed Grafana-arbetsytan måste redan ha skapats.
• Mallen måste distribueras i samma resursgrupp som Azure Managed Grafana-arbetsytan.
• Användare med rollen Administratör för användaråtkomst i aks-klustrets prenumeration kan aktivera rollen Övervakningsläsare direkt genom att distribuera mallen.
• Om Azure Managed Grafana-instansen finns i en annan prenumeration än Azure Monitor Workspaces-prenumerationen registrerar du Azure Monitor Workspace-prenumerationen Microsoft.Dashboard hos resursprovidern genom att följa den här dokumentationen.

Hämta nödvändiga värden för en Grafana-resurs

På sidan Översikt för Azure Managed Grafana-instansen i Azure Portal väljer du JSON-vy.

Om du använder en befintlig Azure Managed Grafana-instans som redan är länkad till en Azure Monitor-arbetsyta behöver du listan över Grafana-integreringar. Kopiera värdet för fältet azureMonitorWorkspaceIntegrations . Om den inte finns har instansen inte länkats till någon Azure Monitor-arbetsyta. azure_monitor_workspace_integrations Uppdatera blocket i main.tf med listan över grafana-integreringar.

  azure_monitor_workspace_integrations {
    resource_id  = var.monitor_workspace_id[var.monitor_workspace_id1, var.monitor_workspace_id2]
  }

Ladda ned och redigera mallarna

Om du distribuerar ett nytt AKS-kluster med Terraform med hanterat Prometheus-tillägg aktiverat följer du dessa steg:

1. Ladda ned alla filer under AddonTerraformTemplate.
2. Redigera variablerna i variables.tf fil med rätt parametervärden.
3. Kör terraform init -upgrade för att initiera Terraform-distributionen.
4. Kör terraform plan -out main.tfplan för att initiera Terraform-distributionen.
5. Kör terraform apply main.tfplan för att tillämpa körningsplanen på din molninfrastruktur.

Obs! Skicka variablerna för annotations_allowed och labels_allowed nycklarna i main.tf endast när dessa värden finns. Det här är valfria block.

Kommentar

Redigera main.tf filen på rätt sätt innan du kör terraform-mallen. Lägg till befintliga azure_monitor_workspace_integrations värden i grafana-resursen innan du kör mallen. Äldre värden tas annars bort och ersätts med det som finns i mallen under distributionen. Användare med rollen "Administratör för användaråtkomst" i prenumerationen på AKS-klustret kan aktivera rollen Övervakningsläsare direkt genom att distribuera mallen. Redigera parametern grafanaSku om du använder en SKU som inte är standard och slutligen kör den här mallen i Grafana-resursens resursgrupp.

Azure Policy

Aktivera med Azure Policy

1. Ladda ned Azure Policy-mall- och parameterfiler.

   • Mallfil: https://aka.ms/AddonPolicyMetricsProfile
   • Parameterfil: https://aka.ms/AddonPolicyMetricsProfile.parameters

2. Skapa principdefinitionen med följande CLI-kommando:

   az policy definition create --name "Prometheus Metrics addon" --display-name "Prometheus Metrics addon" --mode Indexed --metadata version=1.0.0 category=Kubernetes --rules AddonPolicyMetricsProfile.rules.json --params AddonPolicyMetricsProfile.parameters.json

3. När du har skapat principdefinitionen går du till Azure Portal och väljer Princip och sedan Definitioner. Välj den principdefinition som du skapade.

4. Välj Tilldela och fyll i informationen på fliken Parametrar . Välj Granska + skapa.

5. Om du vill tillämpa principen på ett befintligt kluster skapar du en åtgärdsuppgift för klusterresursen från Principtilldelning.

När principen har tilldelats till prenumerationen, när du skapar ett nytt kluster utan Prometheus aktiverat, körs och distribueras principen för att aktivera Prometheus-övervakning.

Aktivera containerinsikter

Använd någon av följande metoder för att aktivera containerinsikter i klustret. När detta är klart kan du läsa Konfigurera agentdatainsamling för containerinsikter för att anpassa konfigurationen för att säkerställa att du inte samlar in mer data än du behöver.

CLI

Använd något av följande kommandon för att aktivera övervakning av dina AKS- och Arc-aktiverade kluster. Om du inte anger en befintlig Log Analytics-arbetsyta används standardarbetsytan för resursgruppen. Om det inte redan finns någon standardarbetsyta i klustrets region skapas en med ett namn i formatet DefaultWorkspace-<GUID>-<Region>.

Förutsättningar

• Azure CLI version 2.43.0 eller senare
• Hanterad identitetsautentisering är standard i CLI version 2.49.0 eller senare.
• Azure k8s-extension version 1.3.7 eller senare
• Hanterad identitetsautentisering är standard i k8s-tillägg version 1.43.0 eller senare.
• Hanterad identitetsautentisering stöds inte för Arc-aktiverade Kubernetes-kluster med ARO (Azure Red Hat Openshift) eller Windows-noder. Använd äldre autentisering.
• För CLI version 2.54.0 eller senare konfigureras loggningsschemat till ContainerLogV2 med hjälp av ConfigMap.

Kommentar

Du kan aktivera ContainerLogV2-schemat för ett kluster med hjälp av klustrets datainsamlingsregel (DCR) eller ConfigMap. Om båda inställningarna är aktiverade har ConfigMap företräde. Stdout- och stderr-loggar matas bara in i tabellen ContainerLog när både DCR och ConfigMap uttryckligen är inställda på av.

AKS-kluster

### Use default Log Analytics workspace
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name>

### Use existing Log Analytics workspace
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id>

### Use legacy authentication
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false

Exempel

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace"

Arc-aktiverat kluster

### Use default Log Analytics workspace
az k8s-extension create --name azuremonitor-containers --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers

### Use existing Log Analytics workspace
az k8s-extension create --name azuremonitor-containers --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings logAnalyticsWorkspaceResourceID=<workspace-resource-id>

### Use managed identity authentication (default as k8s-extension version 1.43.0)
az k8s-extension create --name azuremonitor-containers --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=true

### Use advanced configuration settings
az k8s-extension create --name azuremonitor-containers --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings  amalogs.resources.daemonset.limits.cpu=150m amalogs.resources.daemonset.limits.memory=600Mi amalogs.resources.deployment.limits.cpu=1 amalogs.resources.deployment.limits.memory=750Mi

### With custom mount path for container stdout & stderr logs
### Custom mount path not required for Azure Stack Edge version > 2318. Custom mount path must be /home/data/docker for Azure Stack Edge cluster with version <= 2318
az k8s-extension create --name azuremonitor-containers --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.logsettings.custommountpath=<customMountPath>

Se avsnittet resursbegäranden och begränsningar i Helm-diagrammet för tillgängliga konfigurationsinställningar.

Exempel

az k8s-extension create --name azuremonitor-containers --cluster-name "my-cluster" --resource-group "my-resource-group" --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings logAnalyticsWorkspaceResourceID="/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace"

Arc-aktiverat kluster med vidarebefordrad proxy

Om klustret har konfigurerats med en vidarebefordranproxy tillämpas proxyinställningarna automatiskt på tillägget. När det gäller ett kluster med AMPLS + proxy bör proxykonfiguration ignoreras. Registrera tillägget med konfigurationsinställningen amalogs.ignoreExtensionProxySettings=true.

az k8s-extension create --name azuremonitor-containers --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.ignoreExtensionProxySettings=true

Arc-aktiverat kluster med ARO- eller OpenShift- eller Windows-noder

Hanterad identitetsautentisering stöds inte för Arc-aktiverade Kubernetes-kluster med ARO (Azure Red Hat OpenShift) eller OpenShift- eller Windows-noder. Använd äldre autentisering genom att amalogs.useAADAuth=false ange som i följande exempel.

az k8s-extension create --name azuremonitor-containers --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=false

Ta bort tilläggsinstans

Följande kommando tar bara bort tilläggsinstansen, men tar inte bort Log Analytics-arbetsytan. Data i Log Analytics-resursen lämnas intakta.

az k8s-extension delete --name azuremonitor-containers --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group>

Azure Resource Manager

Både ARM- och Bicep-mallar finns i det här avsnittet.

Förutsättningar

• Mallen måste distribueras i samma resursgrupp som klustret.

Ladda ned och installera mall

1. Ladda ned och redigera mall- och parameterfil

   ARM för AKS-kluster

   • Mallfil: https://aka.ms/aks-enable-monitoring-msi-onboarding-template-file
   • Parameterfil: https://aka.ms/aks-enable-monitoring-msi-onboarding-template-parameter-file

   AKS-kluster Bicep

   • Mallfil (Syslog): https://aka.ms/enable-monitoring-msi-syslog-bicep-template
   • Parameterfil (ingen Syslog): https://aka.ms/enable-monitoring-msi-syslog-bicep-parameters
   • Mallfil (ingen Syslog): https://aka.ms/enable-monitoring-msi-bicep-template
   • Parameterfil (ingen Syslog): https://aka.ms/enable-monitoring-msi-bicep-parameters

   Arc-aktiverad kluster-ARM

   • Mallfil: https://aka.ms/arc-k8s-azmon-extension-msi-arm-template
   • Parameterfil: https://aka.ms/arc-k8s-azmon-extension-msi-arm-template-params
   • Mallfil (äldre autentisering): https://aka.ms/arc-k8s-azmon-extension-arm-template
   • Parameterfil (äldre autentisering): https://aka.ms/arc-k8s-azmon-extension-arm-template-params

2. Redigera följande värden i parameterfilen. Samma uppsättning värden används för både ARM- och Bicep-mallarna. Hämta resurs-ID:t för resurserna från JSON-vyn för deras översiktssida .

   Parameter	Description
   AKS: aksResourceId Båge: clusterResourceId	Resurs-ID för klustret.
   AKS: aksResourceLocation Båge: clusterRegion	Klustrets placering.
   AKS: workspaceResourceId Båge: workspaceResourceId	Resurs-ID för Log Analytics-arbetsytan.
   Båge: workspaceRegion	Region för Log Analytics-arbetsytan.
   Båge: workspaceDomain	Domän för Log Analytics-arbetsytan. opinsights.azure.com för offentligt Azure-moln opinsights.azure.us för AzureUSGovernment.
   AKS: resourceTagValues	Taggvärden som angetts för den befintliga DCR-regeln (Container Insights Extension Data Collection Rule) för klustret och namnet på DCR. Namnet kommer att vara MSCI-<clusterName>-<clusterRegion> och den här resursen skapas i en resursgrupp för AKS-kluster. För första gången kan du ange godtyckliga taggvärden.

3. Distribuera mallen med parameterfilen med valfri giltig metod för att distribuera Resource Manager-mallar. Exempel på olika metoder finns i Distribuera exempelmallarna.

Terraform

Nytt AKS-kluster

1. Ladda ned Terraform-mallfilen beroende på om du vill aktivera Syslog-samlingen.

   Syslog

   • https://aka.ms/enable-monitoring-msi-syslog-terraform

   Ingen Syslog

   • https://aka.ms/enable-monitoring-msi-terraform

2. Justera resursen azurerm_kubernetes_cluster i main.tf baserat på dina klusterinställningar.

3. Uppdatera parametrar i variables.tf för att ersätta värden i "<>"

   Parameter	Description
   aks_resource_group_name	Använd värdena på sidan AKS-översikt för resursgruppen.
   resource_group_location	Använd värdena på sidan AKS-översikt för resursgruppen.
   cluster_name	Definiera det klusternamn som du vill skapa.
   workspace_resource_id	Använd resurs-ID:t för din Log Analytics-arbetsyta.
   workspace_region	Använd platsen för din Log Analytics-arbetsyta.
   resource_tag_values	Matcha de befintliga taggvärden som angetts för den befintliga DCR-regeln (Container Insights Extension Data Collection Rule) för klustret och namnet på DCR. Namnet matchar MSCI-<clusterName>-<clusterRegion> och den här resursen skapas i samma resursgrupp som AKS-klustren. För första gången kan du ange godtyckliga taggvärden.
   enabledContainerLogV2	Ange det här parametervärdet till true för att använda standardrekommenderas ContainerLogV2.
   Parametrar för kostnadsoptimering	Se parametrar för datainsamling

4. Kör terraform init -upgrade för att initiera Terraform-distributionen.

5. Kör terraform plan -out main.tfplan för att initiera Terraform-distributionen.

6. Kör terraform apply main.tfplan för att tillämpa körningsplanen på din molninfrastruktur.

Befintligt AKS-kluster

1. Importera den befintliga klusterresursen först med kommandot : terraform import azurerm_kubernetes_cluster.k8s <aksResourceId>
2. Lägg till oms_agent-tilläggsprofilen i den befintliga azurerm_kubernetes_cluster resursen.

   oms_agent {
       log_analytics_workspace_id = var.workspace_resource_id
       msi_auth_for_monitoring_enabled = true
     }
   

3. Kopiera DCR- och DCRA-resurserna från Terraform-mallarna
4. Kör terraform plan -out main.tfplan och se till att ändringen lägger till egenskapen oms_agent. Obs! Om den definierade resursen azurerm_kubernetes_cluster är annorlunda under terraform-planen förstörs och återskapas det befintliga klustret.
5. Kör terraform apply main.tfplan för att tillämpa körningsplanen på din molninfrastruktur.

Dricks

• main.tf Redigera filen på rätt sätt innan du kör terraform-mallen
• Data börjar flöda efter 10 minuter eftersom klustret måste vara klart först
• WorkspaceID måste matcha formatet /subscriptions/12345678-1234-9876-4563-123456789012/resourceGroups/example-resource-group/providers/Microsoft.OperationalInsights/workspaces/workspaceValue
• Om resursgruppen redan finns kör du terraform import azurerm_resource_group.rg /subscriptions/<Subscription_ID>/resourceGroups/<Resource_Group_Name> före terraform-plan

Azure Policy

Azure Portal

1. På fliken Definitioner på menyn Princip i Azure Portal skapar du en principdefinition med följande information.

   • Definitionsplats: Azure-prenumeration där principdefinitionen ska lagras.
   • Namn: AKS-Monitoring-Addon
   • Beskrivning: Anpassad Azure-princip för att aktivera övervakningstillägget i Azure Kubernetes-kluster.
   • Kategori: Välj Använd befintlig och sedan Kubernetes i listrutan.
   • Principregel: Ersätt det befintliga JSON-exemplet med innehållet i https://aka.ms/aks-enable-monitoring-custom-policy.

2. Välj den nya principdefinitionen AKS Monitoring Addon.

3. Välj Tilldela och ange ett omfång för var principen ska tilldelas.

4. Välj Nästa och ange resurs-ID för Log Analytics-arbetsytan.

5. Skapa en reparationsaktivitet om du vill tillämpa principen på befintliga AKS-kluster i det valda omfånget.

6. Välj Granska + skapa för att skapa principtilldelningen.

Azure CLI

1. Ladda ned Azure Policy-mall- och parameterfiler.

   • Mallfil: https://aka.ms/enable-monitoring-msi-azure-policy-template
   • Parameterfil: https://aka.ms/enable-monitoring-msi-azure-policy-parameters

2. Skapa principdefinitionen med följande CLI-kommando:

   az policy definition create --name "AKS-Monitoring-Addon-MSI" --display-name "AKS-Monitoring-Addon-MSI" --mode Indexed --metadata version=1.0.0 category=Kubernetes --rules azure-policy.rules.json --params azure-policy.parameters.json
   

3. Skapa principdefinitionen med följande CLI-kommando:

   az policy assignment create --name aks-monitoring-addon --policy "AKS-Monitoring-Addon-MSI" --assign-identity --identity-scope /subscriptions/<subscriptionId> --role Contributor --scope /subscriptions/<subscriptionId> --location <location> --role Contributor --scope /subscriptions/<subscriptionId> -p "{ \"workspaceResourceId\": { \"value\":  \"/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.operationalinsights/workspaces/<workspaceName>\" } }"
   

När principen har tilldelats till prenumerationen, när du skapar ett nytt kluster utan Prometheus aktiverat, körs och distribueras principen för att aktivera Prometheus-övervakning.

Aktivera fullständig övervakning med Azure Portal

Nytt AKS-kluster (Prometheus, Container Insights och Grafana)

När du skapar ett nytt AKS-kluster i Azure Portal kan du aktivera Prometheus, Container insights och Grafana från fliken Övervakning. Kontrollera att du markerar kryssrutan Aktivera containerloggar, Aktivera Prometheus-mått och Aktivera Grafana.

Befintligt kluster (Prometheus, Container Insights och Grafana)

1. Gå till DITT AKS-kluster i Azure Portal.
2. I tjänstmenyn under Övervakning väljer du Insikter>Konfigurera övervakning.
3. Containerinsikter är redan aktiverade. Markera kryssrutan Aktivera Prometheus-mått och Aktivera Grafana . Om du har en befintlig Azure Monitor-arbetsyta och Grafana-arbetsyta väljs de åt dig.
4. Välj Avancerade inställningar om du vill välja alternativa arbetsytor eller skapa nya. Med inställningen Kostnadsförinställningar kan du ändra standardinformationen för samlingen för att minska dina övervakningskostnader. Mer information finns i Aktivera inställningar för kostnadsoptimering i Containerinsikter .
5. Välj Konfigurera.

Befintligt kluster (endast Prometheus)

1. Gå till DITT AKS-kluster i Azure Portal.
2. I tjänstmenyn under Övervakning väljer du Insikter>Konfigurera övervakning.
3. Markera kryssrutan Aktivera Prometheus-mått .
4. Välj Avancerade inställningar om du vill välja alternativa arbetsytor eller skapa nya. Med inställningen Kostnadsförinställningar kan du ändra standardinformationen för samlingen för att minska dina övervakningskostnader.
5. Välj Konfigurera.

Aktivera Insamling av Windows-mått (förhandsversion)

Kommentar

Det finns ingen cpu-/minnesgräns i windows-exporter-daemonset.yaml så det kan överetablera Windows-noderna
Mer information finns i Resursreservation

När du distribuerar arbetsbelastningar anger du resursminne och CPU-gränser för containrar. Detta subtraherar också från NodeAllocatable och hjälper den klusteromfattande schemaläggaren att avgöra vilka poddar som ska placera på vilka noder. Schemaläggning av poddar utan gränser kan överetablera Windows-noderna och i extrema fall kan noderna bli felfria.

Från och med version 6.4.0-main-02-22-2023-3ee44b9e av den hanterade Prometheus-tilläggscontainern (prometheus_collector) har Windows-måttsamling aktiverats för AKS-kluster. Genom att registrera till azure monitor-måtttillägget kan Windows DaemonSet-poddarna börja köras i nodpoolerna. Både Windows Server 2019 och Windows Server 2022 stöds. Följ de här stegen för att göra det möjligt för poddarna att samla in mått från dina Windows-nodpooler.

1. Installera windows-exporter manuellt på AKS-noder för att få åtkomst till Windows-mått genom att distribuera YAML-filen windows-exporter-daemonset. Aktivera följande insamlare:

   • [defaults]
   • container
   • memory
   • process
   • cpu_info

   Fler insamlare finns i Prometheus-exportör för Windows-mått.

   Distribuera YAML-filen windows-exporter-daemonset. Observera att om det finns några taints som tillämpas i noden måste du använda lämpliga toleranser.

       kubectl apply -f windows-exporter-daemonset.yaml
   

2. Tillämpa ama-metrics-settings-configmap på klustret. windowsexporter Ange booleska värden och windowskubeproxy till true. Mer information finns i Konfigurationsmapp för måtttilläggsinställningar.

3. Aktivera de inspelningsregler som krävs för de färdiga instrumentpanelerna:

   • Om du registrerar med hjälp av CLI inkluderar du alternativet --enable-windows-recording-rules.
   • Om du registrerar med hjälp av en ARM-mall, Bicep eller Azure Policy anger du enableWindowsRecordingRules till true i parameterfilen.
   • Om klustret redan har registrerats använder du den här ARM-mallen och den här parameterfilen för att skapa regelgrupperna. Detta lägger till de inspelningsregler som krävs och är inte en ARM-åtgärd i klustret och påverkar inte klustrets aktuella övervakningstillstånd.

Verifiera distributionen

Använd kommandoradsverktyget kubectl för att kontrollera att agenten har distribuerats korrekt.

Managed Prometheus

Kontrollera att DaemonSet har distribuerats korrekt i Linux-nodpoolerna

kubectl get ds ama-metrics-node --namespace=kube-system

Antalet poddar ska vara lika med antalet Linux-noder i klustret. Utdata bör likna följande exempel:

User@aksuser:~$ kubectl get ds ama-metrics-node --namespace=kube-system
NAME               DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR   AGE
ama-metrics-node   1         1         1       1            1           <none>          10h

Kontrollera att Windows-noder har distribuerats korrekt

kubectl get ds ama-metrics-win-node --namespace=kube-system

Antalet poddar ska vara lika med antalet Windows-noder i klustret. Utdata bör likna följande exempel:

User@aksuser:~$ kubectl get ds ama-metrics-node --namespace=kube-system
NAME                   DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR   AGE
ama-metrics-win-node   3         3         3       3            3           <none>          10h

Kontrollera att de två replikuppsättningarna har distribuerats för Prometheus

kubectl get rs --namespace=kube-system

Utdata bör likna följande exempel:

User@aksuser:~$kubectl get rs --namespace=kube-system
NAME                            DESIRED   CURRENT   READY   AGE
ama-metrics-5c974985b8          1         1         1       11h
ama-metrics-ksm-5fcf8dffcd      1         1         1       11h

Containerinsikter

Kontrollera att DaemonSets har distribuerats korrekt i Linux-nodpoolerna

kubectl get ds ama-logs --namespace=kube-system

Antalet poddar ska vara lika med antalet Linux-noder i klustret. Utdata bör likna följande exempel:

User@aksuser:~$ kubectl get ds ama-logs --namespace=kube-system
NAME       DESIRED   CURRENT   READY     UP-TO-DATE   AVAILABLE   NODE SELECTOR   AGE
ama-logs   2         2         2         2            2           <none>          1d

Kontrollera att Windows-noder har distribuerats korrekt

kubectl get ds ama-logs-windows --namespace=kube-system

Antalet poddar ska vara lika med antalet Windows-noder i klustret. Utdata bör likna följande exempel:

User@aksuser:~$ kubectl get ds ama-logs-windows --namespace=kube-system
NAME                   DESIRED   CURRENT   READY     UP-TO-DATE   AVAILABLE   NODE SELECTOR     AGE
ama-logs-windows           2         2         2         2            2       <none>            1d

Verifiera distributionen av containerinsiktslösningen

kubectl get deployment ama-logs-rs --namespace=kube-system

Utdata bör likna följande exempel:

User@aksuser:~$ kubectl get deployment ama-logs-rs --namespace=kube-system
NAME          READY   UP-TO-DATE   AVAILABLE   AGE
ama-logs-rs   1/1     1            1           24d

Visa konfiguration med CLI

aks show Använd kommandot för att ta reda på om lösningen är aktiverad, resurs-ID för Log Analytics-arbetsytan och sammanfattningsinformation om klustret.

az aks show --resource-group <resourceGroupofAKSCluster> --name <nameofAksCluster>

Kommandot returnerar JSON-formaterad information om lösningen. Avsnittet addonProfiles bör innehålla information om omsagent som i följande exempel:

"addonProfiles": {
    "omsagent": {
        "config": {
            "logAnalyticsWorkspaceResourceID": "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/microsoft.operationalinsights/workspaces/my-workspace",
            "useAADAuth": "true"
        },
        "enabled": true,
        "identity": null
    },
}

Resurser etablerade

När du aktiverar övervakning skapas följande resurser i din prenumeration:

Resursnamn	Resurstyp	Resursgrupp	Region/plats	beskrivning
MSCI-<aksclusterregion>-<clustername>	Regler för datainsamling	Samma som kluster	Samma som Log Analytics-arbetsytan	Den här datainsamlingsregeln är avsedd för logginsamling av Azure Monitor-agenten, som använder Log Analytics-arbetsytan som mål och är associerad med AKS-klusterresursen.
MSPROM-<aksclusterregion>-<clustername>	Regler för datainsamling	Samma som kluster	Samma som Azure Monitor-arbetsytan	Den här datainsamlingsregeln gäller för prometheus-måttinsamling efter måtttillägg, som har den valda Azure Monitor-arbetsytan som mål, och även den är associerad med AKS-klusterresursen
MSPROM-<aksclusterregion>-<clustername>	Slutpunkt för datainsamling	Samma som kluster	Samma som Azure Monitor-arbetsytan	Den här datainsamlingsslutpunkten används av datainsamlingsregeln ovan för att mata in Prometheus-mått från måtttillägget

När du skapar en ny Azure Monitor-arbetsyta skapas följande ytterligare resurser som en del av den

Resursnamn	Resurstyp	Resursgrupp	Region/plats	beskrivning
<azuremonitor-workspace-name>	Regler för datainsamling	<MA_azuremonitor-workspace-name>_<azuremonitor-workspace-region>_managed	Samma som Azure Monitor-arbetsyta	DCR skapades när du använder OSS Prometheus-servern till Fjärrskrivning till Azure Monitor-arbetsyta.
<azuremonitor-workspace-name>	Slutpunkt för datainsamling	<MA_azuremonitor-workspace-name>_<azuremonitor-workspace-region>_managed	Samma som Azure Monitor-arbetsyta	DCE skapades när du använder OSS Prometheus-servern för fjärrskrivning till Azure Monitor-arbetsyta.

Skillnader mellan Windows- och Linux-kluster

De största skillnaderna i övervakning av ett Windows Server-kluster jämfört med ett Linux-kluster är:

• Windows har inget RSS-mått för minne. Därför är den inte tillgänglig för Windows-noder och containrar. Måttet Arbetsuppsättning är tillgängligt.
• Information om disklagringskapacitet är inte tillgänglig för Windows-noder.
• Endast poddmiljöer övervakas, inte Docker-miljöer.
• Med förhandsversionen stöds högst 30 Windows Server-containrar. Den här begränsningen gäller inte för Linux-containrar.

Kommentar

Stöd för Container Insights för Windows Server 2022-operativsystemet finns i förhandsversion.

Den containerbaserade Linux-agenten (replikuppsättningspodden) gör API-anrop till alla Windows-noder på Kubelet-säker port (10250) i klustret för att samla in prestandarelaterade mått för noder och containrar. Kubelet-säker port (:10250) bör öppnas i klustrets virtuella nätverk för både inkommande och utgående för att Windows-noden och containerns prestandarelaterade måttsamling ska fungera.

Om du har ett Kubernetes-kluster med Windows-noder granskar och konfigurerar du nätverkssäkerhetsgruppen och nätverksprinciperna för att se till att Kubelet-säker port (:10250) är öppen för både inkommande och utgående trafik i klustrets virtuella nätverk.

Nästa steg

• Om du får problem när du försöker registrera lösningen kan du läsa felsökningsguiden.
• Med övervakning aktiverat för att samla in hälsotillstånd och resursanvändning för ditt AKS-kluster och arbetsbelastningar som körs på dem, lär du dig hur du använder Container Insights.