Aktivera privat länk med Container Insights

Den här artikeln beskriver hur du konfigurerar Container Insights för att använda Azure Private Link för ditt AKS-kluster.

Kluster med hanterad identitetsautentisering

Förutsättningar

  • Mallen måste distribueras i samma resursgrupp som klustret.

Ladda ned och installera mall

  1. Ladda ned ARM-mallen och parameterfilen:

    AKS-kluster

    Arc-aktiverat Kubernetes-kluster

  2. Redigera följande värden i parameterfilen. Hämta resurs-ID :t för resurserna från JSON-vyn för deras översiktssida .

    Parameter Description
    AKS: aksResourceId
    Arc: clusterResourceId
    Resurs-ID för klustret.
    AKS: aksResourceLocation
    Arc: clusterRegion
    Azure-regionen för klustret.
    AKS: workspaceResourceId
    Arc: workspaceResourceId
    Resurs-ID för Log Analytics-arbetsytan.
    AKS: workspaceRegion
    Arc: workspaceRegion
    Region för Log Analytics-arbetsytan.
    Arc: workspaceDomain Domän för Log Analytics-arbetsytan:
    opinsights.azure.com för offentligt Azure-moln
    opinsights.azure.us för Azure US Government
    opinsights.azure.cn för Azure China Cloud
    AKS: resourceTagValues Taggvärden som angetts för den befintliga DCR-regeln (Container Insights Extension Data Collection Rule) för klustret och namnet på DCR. Namnet är MSCI-clusterName-clusterRegion<><> och den här resursen skapas i en resursgrupp för AKS-kluster. För första gången kan du ange godtyckliga taggvärden.
    AKS: useAzureMonitorPrivateLinkScope
    Arc: useAzureMonitorPrivateLinkScope
    Boolesk flagga som anger om Azure Monitor-länkomfånget används eller inte.
    AKS: azureMonitorPrivateLinkScopeResourceId
    Arc: azureMonitorPrivateLinkScopeResourceId
    Resurs-ID för Azure Monitor Private Link-omfånget. Detta används endast om useAzureMonitorPrivateLinkScope är inställt på sant.

Baserat på dina krav kan du konfigurera andra parametrar som , , , , , och dataCollectionIntervalnamespaceFilteringModeForDataCollectionnamespacesForDataCollection. syslogLevelssyslogFacilitiesenableSyslogenableContainerLogV2streams

  1. Distribuera mallen med parameterfilen med valfri giltig metod för att distribuera Resource Manager-mallar. Exempel på olika metoder finns i Distribuera exempelmallarna.

Kluster med äldre autentisering

Använd följande procedurer för att aktivera nätverksisolering genom att ansluta klustret till Log Analytics-arbetsytan med Hjälp av Azure Private Link om klustret inte använder hanterad identitetsautentisering. Detta kräver ett privat AKS-kluster.

  1. Skapa ett privat AKS-kluster enligt vägledningen i Skapa ett privat Azure Kubernetes Service-kluster.

  2. Inaktivera offentlig inmatning på Log Analytics-arbetsytan.

    Använd följande kommando för att inaktivera offentlig inmatning på en befintlig arbetsyta.

    az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
    

    Använd följande kommando för att skapa en ny arbetsyta med offentlig inmatning inaktiverad.

    az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
    
  3. Konfigurera privat länk genom att följa anvisningarna på Konfigurera din privata länk. Ange inmatningsåtkomst till offentlig och ange sedan till privat när den privata slutpunkten har skapats, men innan övervakning aktiveras. Resursregionen för den privata länken måste vara samma som AKS-klusterregionen.

  4. Aktivera övervakning för AKS-klustret.

    az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id>
    

Nästa steg

  • Om du får problem när du försöker registrera lösningen kan du läsa felsökningsguiden.
  • Med övervakning aktiverat för att samla in hälsotillstånd och resursanvändning för ditt AKS-kluster och arbetsbelastningar som körs på dem, lär du dig hur du använder Container Insights.