Aktivera privat länk med Container Insights

Den här artikeln beskriver hur du konfigurerar Container Insights för att använda Azure Private Link för ditt AKS-kluster.

Kluster med hanterad identitetsautentisering

CLI

Förutsättningar

• Azure CLI version 2.61.0 eller senare.
• Skapa ett Azure Monitor Private Link-omfång (AMPLS) enligt vägledningen i Konfigurera din privata länk.

Befintligt AKS-kluster

Använd standardarbetsytan i Log Analytics

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Exempel:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Använda befintlig Log Analytics-arbetsyta

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Exempel:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Nytt AKS-kluster

az aks create --resource-group rgName --name clusterName --enable-addons monitoring --workspace-resource-id "workspaceResourceId" --ampls-resource-id "azure-monitor-private-link-scope-resource-id"

Exempel:

az aks create --resource-group "my-resource-group"  --name "my-cluster"  --enable-addons monitoring --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

ARM

Följande avsnitt innehåller länkar till mall- och parameterfilerna för aktivering av privat länk med containerinsikter i ett AKS- och Arc-aktiverat kluster.

Redigera värdena i parameterfilen och distribuera mallen med valfri giltig metod för att distribuera ARM-mallar. Hämta resurs-ID :t för resurserna från JSON-vyn för deras översiktssida .

Baserat på dina krav kan du konfigurera andra parametrar som , , , , , och dataCollectionIntervalnamespaceFilteringModeForDataCollection namespacesForDataCollection. syslogLevelssyslogFacilitiesenableSyslogenableContainerLogV2streams

Förutsättningar

• Skapa ett Azure Monitor Private Link-omfång (AMPLS) enligt vägledningen i Konfigurera din privata länk.
• Mallen måste distribueras i samma resursgrupp som klustret.

AKS-kluster

Mallfil: https://aka.ms/aks-enable-monitoring-msi-onboarding-template-file
Parameterfil: https://aka.ms/aks-enable-monitoring-msi-onboarding-template-parameter-file

Parameter	Description
aksResourceId	Resurs-ID för klustret.
aksResourceLocation	Azure-regionen för klustret.
workspaceResourceId	Resurs-ID för Log Analytics-arbetsytan.
workspaceRegion	Region för Log Analytics-arbetsytan.
resourceTagValues	Taggvärden som angetts för den befintliga DCR-regeln (Container Insights Extension Data Collection Rule) för klustret och namnet på DCR. Namnet är MSCI-clusterName-clusterRegion<><> och den här resursen skapas i en resursgrupp för AKS-kluster. För första gången kan du ange godtyckliga taggvärden.
useAzureMonitorPrivateLinkScope	Boolesk flagga som anger om Azure Monitor-länkomfånget används eller inte.
azureMonitorPrivateLinkScopeResourceId	Resurs-ID för Azure Monitor Private Link-omfånget. Detta används endast om useAzureMonitorPrivateLinkScope är inställt på sant.

Arc-aktiverat Kubernetes-kluster

Mallfil: https://aka.ms/arc-k8s-azmon-extension-msi-arm-template
Parameterfil: https://aka.ms/arc-k8s-azmon-extension-msi-arm-template-params

Parameter	Description
clusterResourceId	Resurs-ID för klustret.
clusterRegion	Azure-regionen för klustret.
workspaceResourceId	Resurs-ID för Log Analytics-arbetsytan.
workspaceRegion	Region för Log Analytics-arbetsytan.
workspaceDomain	Domän för Log Analytics-arbetsytan: opinsights.azure.com för offentligt Azure-moln opinsights.azure.us för Azure US Government opinsights.azure.cn för Azure China Cloud
resourceTagValues	Taggvärden som angetts för den befintliga DCR-regeln (Container Insights Extension Data Collection Rule) för klustret och namnet på DCR. Namnet är MSCI-clusterName-clusterRegion<><> och den här resursen skapas i en resursgrupp för AKS-kluster. För första gången kan du ange godtyckliga taggvärden.
useAzureMonitorPrivateLinkScope	Boolesk flagga som anger om Azure Monitor-länkomfånget används eller inte.
azureMonitorPrivateLinkScopeResourceId	Resurs-ID för Azure Monitor Private Link-omfånget. Detta används endast om useAzureMonitorPrivateLinkScope är inställt på sant.

Kluster med äldre autentisering

Använd följande procedurer för att aktivera nätverksisolering genom att ansluta klustret till Log Analytics-arbetsytan med Hjälp av Azure Private Link om klustret inte använder hanterad identitetsautentisering. Detta kräver ett privat AKS-kluster.

1. Skapa ett privat AKS-kluster enligt vägledningen i Skapa ett privat Azure Kubernetes Service-kluster.

2. Inaktivera offentlig inmatning på Log Analytics-arbetsytan.

   Använd följande kommando för att inaktivera offentlig inmatning på en befintlig arbetsyta.

   az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
   

   Använd följande kommando för att skapa en ny arbetsyta med offentlig inmatning inaktiverad.

   az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
   

3. Konfigurera privat länk genom att följa anvisningarna på Konfigurera din privata länk. Ange inmatningsåtkomst till offentlig och ange sedan till privat när den privata slutpunkten har skapats, men innan övervakning aktiveras. Resursregionen för den privata länken måste vara samma som AKS-klusterregionen.

4. Aktivera övervakning för AKS-klustret.

   az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id>
   

Nästa steg

• Om du får problem när du försöker registrera lösningen kan du läsa felsökningsguiden.
• Med övervakning aktiverat för att samla in hälsotillstånd och resursanvändning för ditt AKS-kluster och arbetsbelastningar som körs på dem, lär du dig hur du använder Container Insights.